Recientemente se ha descubierto una versión para
Android. Vamos a mostrar las técnicas usadas por el atacante para forzar que el
malware permanezca en primer plano y persista al reinicio del dispositivo. Por
último, ofreceremos una forma para eliminarlo del dispositivo.
El Virus de la Policía que afecta a los ordenadores
bloqueando la pantalla y pidiendo dinero para desbloquear el sistema, el
comportamiento típico de cualquier "ransomware".
Si ejecutamos el Virus de la Policía en el emulador de
Android, vemos una página web en la que nos pide dinero para desinstalar la
aplicación. Al igual que ocurre con la versión de escritorio, sin pagar, es
imposible de salir de la aplicación porque siempre vuelve al primer plano y no
nos deja suficiente tiempo para desinstalarla a partir del menú
"Ajustes" de Android.
Desinstalar el Virus de la Policía
en Android
Como no tenemos
acceso a la pantalla, no podemos desinstalar manualmente la aplicación desde el
menú "Ajustes/Aplicaciones".
Sin embargo, Google proporciona una
herramienta llamada "adb" usada por desarrolladores de aplicaciones
Android para instalar y desinstalar aplicaciones, grabar logs, etc. Antes de
desinstalar una aplicación, necesitamos conocer el nombre del paquete que la
identifica.
Esta información se encuentra en el archivo de configuración
"AndroidManifest.xml". Podemos ver que en este caso el nombre de
paquete del ransomware es "com.android".
- La utilidad "adb" se encuentra incluida dentro del Android SDK disponible para descarga desde: http://developer.android.com/sdk/index.html
Una vez
instalado (descomprimirlo) será necesario conectar el dispositivo infectado al
ordenador, localizar la herramienta "adb" en la carpeta
"/sdk/platform-tools/" y ejecutar el comando:
- adb uninstall com.android
con lo que conseguiremos desinstalar
el malware.
Más información:
- Una al día (14/05/2914) http://unaaldia.hispasec.com/2014/05/virus-de-la-policia-en-android-tecnicas.html
Fuente: Hispasec.com